Bonjour,
 
Je tente de mettre en place l'architecture réseau suivante à l'aide d'un routeur wifi :  
 

• Ma box Orange gère le DHCP de mon réseau câblé en 192.168.10.0/25
• La box wifi gère deux réseaux wifi distincts, un pour mes propres appareils avec une sécurité forte (MAC filtering) en 192.168.11.0/25 et un pour les invités avec une sécurité bien moins forte, en 192.168.12.0/25

Avec les règles de routage suivantes :  

• 192.168.10.0/25 a accès à tout le réseau local
• 192.168.11.0/25 a accès à tout le réseau local
• 192.168.12.0/25 n'a accès à RIEN en local, uniquement internet

Mon routeur wifi actuel (un archer C1200) ne permet visiblement pas de mettre en place une telle architecture tant il est truffé de limitations :  

• Pas de mac filtering
• Pas de dhcp distinct entre le wifi privé et le wifi invité
• Pas de règles de routage (impossible d'interdire aux appareils connectés sur le routeur d'accéder à 192.168.10.0/25 par exemple...)

En l'état donc ce soi-disant "routeur" n'en est pas vraiment un, puisqu'on ne peut visiblement s'en servir que comme un bête point d'accès...
 
J'en appelle donc à vot' bon coeur pour m'aider à trouver, s'il existe, un modèle de routeur wifi qui s'affranchisse de ces 3 limitations, ou me conseiller autre chose s'il s'avère que ma conf' cible n'est pas pertinente...

Bonjour,
 

 
Tu ne t'en occupes pas. Le WiFi invité attribue généralement des adresses en 169.x.x.x. En plus, il y a des options pour interdire les invités wifi à accéder au LAN hôte.
 

L'Archer C1200 est supposé gérer le MAC filtering et les règles de routage. Vois ton manuel
 
https://www.manualslib.com/manual/8 [...] e=8#manual
 
Tu as fait une mise à jour du firmware du C1200 ?

Merci pour ta réponse.

Le firmware de mon C1200 est à jour.

Concernant le filtrage MAC j'ai écrit n'importe quoi, il est effectivement présent mais s'applique aussi au réseau invité. Ce qui supprime complètement tout intérêt de ce dernier.

Edit : d'ailleurs, le panneau de configuration du mon router ne ressemble en rien aux captures dans le manuel que tu link, et les options ne sont pas réparties pareil dans le menu...
Concernant l'isolement, le réseau invité est effectivement isolé du lan 192.168.11.0/25 mais pas du lan 192.168.10.0/25 (qui est un Wan du point de vue du C1200). Et je n'ai trouvé aucune possibilité de mettre des règles de routage pour empêcher cela...

Pour ton panneau de configuration, tu peux faire une capture de la page générale ? (En gommant les informations sensibles)

Par principe, le but d'un réseau wifi invité est d’empêcher l'accès au réseau local, tout en permettant l'accès à Internet (comme avec un VLAN).
Je ne vois donc pas le besoin d'utiliser une classe réseau spécifique...  

https://imgur.com/a/qnm1ZfV
 
La page principale, les réglages wifi (note dans le panneau de gauche l'absence de MAC filtering à ce niveau là...), les réglages bien maigres du réseau guest, et en dernier le seul moyen que j'ai trouvé de faire du MAC filtering (mais qui du coup s'appliquent aussi au réseau guest).

On est d'accord à la limite je m'en fous que le guest soit dans une classe réseau spécifique. Ma problématique est que en l'état, je ne peux pas empêcher le trafic du wifi guest vers mon lan principal (qui est le wan du routeur wifi).

C'est normal ça, tout ce qui est derrière le TP-Link voit tout ce qui est au-dessus...
Ce qui n'est pas normal, c'est que tu considères le LAN de la box comme ton LAN principal.
 
Lorsqu'on cascade 2 routeurs (Box + TP-Link), c'est généralement le second (TP-Link) qui contrôle tout (avec DMZ sur la Box vers le TP-Link).
Donc le LAN principal c'est celui du TP-Link...

Ok j'ai donc une vision erronée du truc, je pensais naïvement que le routeur me permettrait d'écrire des règles du style "réseau À > réseau B : Drop" comme on peut le faire sous Linux.
 
Que le tp-link gère tout je veux bien, ça serait idéal même, mais la configuration de mon réseau fait que j'ai des équipements qui sont forcément branchés directement sur la box. Ces équipements sont donc du côté "wan" pour le tp-link et ne feront pas partie de son lan...

Qu'est-ce qui est branché sur le LAN de la Box?
 

Deux pc dont mon pc principal.

Pourquoi ne pas les mettre sur le TP-Link ?

Parce que la box orange est au garage (où je ne veux pas mettre le tp-link pour des raisons évidentes de couverture WiFi), puis des câbles distribuent le réseau du garage vers mon bureau (où sont les deux pc) et vers le salon (où est le tp-link)

Et pourquoi la Livebox est au garage?  
Tu as la fibre? Si oui, fallait prendre un ONT pour la déporter dans le bureau...

Parce que c'était plus simple de laisser la box au garage et de tirer des câbles Ethernet du garage vers les différentes pièces, que de mettre l'ONT au bureau et de tirer des câbles du bureau au salon...

Je ne comprends pas bien, tu as combien de câbles Ethernet entre le bureau et le garage?

Un seul, avec un switch au bureau.
Pareil pour le salon, un seul câble Ethernet avec un switch au bout et le C1200 branché sur le switch (la box TV ne fonctionne pas si branchée sur le C1200).

OK, dans ce cas tu es plutôt coincé !    
Le décodeur TV ne fonctionnera jamais.
Il aurait fallu 2 câbles entre le séjour et le garage. Un câble pour brancher l'ONT au garage à la Livebox dans le séjour, et un câble pour renvoyer le LAN dans le bureau ou ailleurs...
 

Mouais.
 
Je suis quand même étonné qu'un routeur ne permette pas d'écrire des règles de routage
 
En l'état je pense avoir trouvé un compromis satisfaisant, je vais utiliser le wifi invité de la box. La couverture n'est pas folle mais semble rester utilisable pour un réseau invité (10ms ping - 10 Mb/s en 2.4 GHz avec mon smartphone au point de la maison le plus éloigné du garage).
Comme ça je met le tp-link en mode point d'accès simple avec MAC filtering et ça roule (et j'ai même pas besoin de me gérer une classe réseau à part pour les devices wifi).

Pourquoi ne pas utiliser le C1200 pour le filaire (activation de la fonction routeur) ? Sa configuration LAN et WLAN privé te permettra toujours plus de possibilité qu'avec la LB.

Parce que je ne veux pas mettre le C1200 au garage qui est séparé de la maison par un mur porteur (donc couverture WiFi pas top).
Et ça me ferait perdre la fonctionnalité de téléphone fixe qu'on utilise quand même parfois, même si c'est un peu secondaire.

Il faut mettre des switches qui font de l'igmp snooping , des switches manageables font cela aussi (netgears GS108EV3° ENTRE AUTRES  
a plus  

Un switch et un routeur ça n’est pas la même chose.

Hi je sais , je pensais que son switch bloquait la TV ... maintenant un routeur (niveau 3 ipv4 et ipv6) pourquoi faire ?? 99% des cas c'st bien sur inutile ..  
a PLUS  

Ben… Comme le titre du topic l’indique, pour avoir un wifi invité dans un vlan séparé du réseau principal, chose qui par définition nécessite deux réseaux ip distincts, et donc un routeur entre deux …

Bref, le sujet est résolu, même si je suis assez loin de la solution initialement envisagée, j’ai à peu près réussi à obtenir le fonctionnement souhaité.

hello,
 
Oui avec une livebox  pas moyen de détrouner le wifi invité sur le reseau local , il faut la remplacer par un routeur plus agile et complet. (faut choisir le bon routeur ... ).  
Autre solution certainement un petit raspberry p4i conecté par le cable ethernet et configuré en AP wifi 5 GHz avec quelques regles de routage
(iptables) pourrait faire le boulot ...  
A plus